位置: 编程技术 - 正文

Linux系统被入侵后使用lsof命令恢复被删除日志的方法(linux系统入侵检测软件有哪些)

编辑:rootadmin

推荐整理分享Linux系统被入侵后使用lsof命令恢复被删除日志的方法(linux系统入侵检测软件有哪些),希望有所帮助,仅作参考,欢迎阅读内容。

文章相关热门搜索词:linux系统入侵检测工具,linux入侵windows,linux会被入侵吗,linux系统入侵网站,linux系统被入侵如何进行排查和处理,linux系统入侵网站,linux系统被入侵如何进行排查,linux系统入侵检测工具,内容如对您有帮助,希望把文章链接给更多的朋友!

Linux系统是服务器最常见的操作系统,当然也面临着非常多的安全事件,相较Windows操作系统,Linux采用了明确的访问权限控制和全面的管理工具,具有非常高的安全性和稳定性。Linux系统被入侵后,攻击者为了掩盖踪迹,经常会清除系统中的各种日志,包括Web的access和error日志、last日志、message日志、secure日志等,给我们后期应急响应和取证分析带来了非常大的阻力。所以,恢复被清除的日志是非常重要的取证和分析环节,一下是使用lsof命令恢复日志文件的案例,适用于常见的日志恢复工作。

一、前提条件

不能关闭服务器,不能关闭相关服务或进程,如恢复apache的访问日志 /var/log/httpd/access_log ,不能关闭或者重启服务器系统,也不能重启httpd服务。

Linux系统被入侵后使用lsof命令恢复被删除日志的方法(linux系统入侵检测软件有哪些)

二、实施过程

1. 找到相关进程pid复制代码代码如下:[root@localhost ~]# lsof | grep access_loghttpd root 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_loghttpd apache 7w REG ,0 0 /var/log/httpd/access_log这里我们重点关注一下第一、第二、第三、第四列,分别表示进程名、pid、用户、文件描述符,我们看到这里的文件描述符是7w,所以我们在下一步操作过程要记住这个7.

2. 找回日志

复制代码代码如下:[root@localhost ~]# wc -l /proc//fd/ /proc//fd/7[root@localhost ~]# cat /proc//fd/7 > /var/log/httpd/access_log我们先通过wc或者tail命令查看日志信息,然后再将日志重写到access_log中即可。

三、总结

在Linux系统的/proc 分区下保存着进程的目录和名字,包含fd(文件描述符)和其下的子目录(进程打开文件的链接),那么如果删除了一个文件,还存在一个 inode的引用:/proc/进程号/fd/文件描述符。我们只要知道当前打开文件的进程pid和文件描述符fd就能利用lsof工具列出进程打开的文件。通过lsof我们就可以进行简单的文件恢复工作,当然这里不局限于日志文件,只要是存在引用的文件。

Linux系统怎么搭建Samba共享服务器? Samba是Linux发行版常用的文件共享服务器,可用于实现与Windows系统之间的文件共享交换,让即时不了解Linux的用户也能够轻易的访问Linux系统中的文件。

Linux系统chmod命令的含义和权限详解 许多喜欢使用chmod命令的用户,对chmod命令的含义和权限仍然不是很清楚,因此在使用的时候对它们造成了一定的麻烦。为了解决这些用户的迷惑,今天

Linux系统如何制作Video将摄像头的内容显示出来 现在电脑上可以使用摄像头进行录像做成Video视频,那么在Linux系统下要如何实现呢?首先在制作前需要对内核进行升级,下面随小编一起来学习下吧。

标签: linux系统入侵检测软件有哪些

本文链接地址:https://www.jiuchutong.com/biancheng/368193.html 转载请保留说明!

上一篇:Linux下修复inittab文件丢失的两种方法(linux系统修复)

下一篇:Linux系统怎么搭建Samba共享服务器?(linux搭建chia)

  • 个人独资企业的优缺点
  • 月饼礼盒发票
  • 不在境内劳务是否付企业所得税
  • 红字发票的蓝字发票要退回吗
  • 总公司收回未分配利润如何入账?
  • 应交税费期初数比期末数大
  • 利息及债券溢价摊销表
  • 销售原材料收到商业承兑汇票会计分录
  • 计提坏账准备的前提条件
  • 城镇土地使用税减免税政策
  • 建筑工程老项目时间
  • 子公司具有独立的法律地位吗
  • 上报汇总之后怎么申报
  • 分公司注销总公司会计分录
  • 租赁发票需要写税号吗
  • 应征增值税不含税销售额和免税销售额
  • 华为matex3价格表
  • 或有事项确认预计负债的分录
  • macbook上安装windows10
  • 刚成立的公司有什么风险
  • mac语音备忘录文件怎样转换成mp3
  • 三代税款手续费支付比例
  • 事业单位专项资金包括哪些内容
  • 销货退回未按规则处理
  • 如何选择一款适合自己家庭的凉席
  • el-cascader数据渲染时不出现文字
  • php的数据类型主要有哪几种
  • 报销费用填制什么凭证
  • 凯丽温泉可以做spa
  • zend framework手册
  • EMQX(MQTT)----基本用法以及使用Python程序进行模拟流程
  • 私营独资企业的税收规定
  • 企业所得税的计提和缴纳分录
  • code editing
  • js中数组操作
  • 营改增前取得的有形动产为标的物
  • flex:4
  • phpcms 数据库配置文件
  • 息税前利润为什么不减利息
  • 进项税额加计扣除5%账务处理
  • 出资比例不等于100%
  • mongodb简单使用
  • 织梦使用教程
  • 一般纳税人超过多少要交税
  • 应收票据和其他应收款的区别
  • 原材料的会计处理有哪些
  • MySQL: mysql is not running but lock exists 的解决方法
  • 私车公用怎么办理手续
  • 营业外支出会计编码
  • 年末资产减值损失可以税前扣除吗
  • 补付预付账款账务处理分录
  • 分支机构企业所得税计提和缴纳数额不一致怎么办?
  • 上月有留底税额时本月缴纳税款时怎么做分录
  • mysql在指定字段前添加
  • windowns vista
  • thinkpad e431 bios怎么进入
  • ahqinit.exe是什么进程 ahqinit是安全的进程吗
  • win8有几个版本
  • w7系统cf怎么调烟雾头
  • 老旧的诗琴五个琴谱大全
  • 如何输入密钥上网
  • 删除kernel
  • 网卡被禁用一启动就死机
  • win8 电话激活
  • win8系统恢复
  • windows8.1家庭版安装密钥
  • cocos creator打包
  • linux复制文件命令mv
  • 怎么重置mysql的密码
  • 修改系统用户名为英文
  • 10个常用linux指令
  • 你需要知道的100位艺术大师
  • 置顶高手
  • unity spine换装
  • 减免所得税额怎样计算
  • 土地招标拍卖挂牌
  • 定额发票是什么票据类型
  • 无锡地铁时速多少公里
  • 税务公文字体
  • 家长进校园给孩子讲法律课
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设